Я майже цілий тиждень керував цим.
Мої налаштування: LAN (вікна / linux ПК / сервери) & lt; - & gt; Шлюз / брандмауер CentOS & lt; - & gt; ISP
Я намагаюся налаштувати моніторингове рішення, яке буде відстежувати всю мережеву активність для локальної мережі (відвідані веб-сайти, з'єднання skype тощо). Я хочу, щоб протокол, IP / dns, час і будь-яка інша відповідна інформація склали звіт про використання. Мені не потрібні дані про трафік (вміст), а лише інформацію про трафік. Мені потрібно мати можливість озирнутися на певний день і побачити, що робить певний хост у моїй локальній мережі в певний період часу. в основному, щось схоже на хост-а, на день М, на годину H витратив M хвилин на сайті X, або skype або yahoo або який-небудь інший протокол.
Я спробував багато інструментів моніторингу, але майже всі вони контролюють використання пропускної здатності (що НЕ це те, що я хочу) або виконують моніторинг у реальному часі (немає історичних даних) Я спробував ці (майже всі вони згадувалися тут):
- ntopng
- BandwidthD
- darkstat
- nagios
- vnstat
(Можливо, я пробував інших, це я згадую)
Я визнаю, що я, можливо, пропустив деяку конфігурацію, яка б зробила справу якомога більше, тому я відкрита для перегляду будь-якої з вищезазначених або інших, за умови, що я отримую деякі чіткі кроки, щоб увімкнути запис даних і повідомити про це.
Моя коробка CentOS GW є GUI-менше, тому etherApe і деякі інші не є можливим (якщо вони не можуть бути демонтовані і використані в браузері або щось для звітування). Крім того, шукайте рішення з відкритим вихідним кодом (на основі rpm або на основі джерела)
Дякую.
Пізніше редагування: Я добре для будь-якого моніторингу мережі / нюхати також. Сьогодні я оцінював деякі рішення в цій області, і вони виглядають багатообіцяючими, хоча той факт, що вони мають справу з пакетами, а не з'єднаннями (що я зацікавив), робить справи трохи складніше.
Найкраще, що я міг придумати, це:
tshark -i 3 "src host a.b.c.d and not dst host w.x.y.z and tcp[0xd]&18=2" -T fields -e frame.time -e ip.addr -e tcp.dstport -a duration:86400
де i = 3 - це публічний / інтернет-інтерфейс, abcd - це загальнодоступний IP-інтерфейс "інтернету" на GW, а wxyz - мій загальнодоступний IP (тому я виключаю активне спілкування між мною та хостом (як це у мене є принаймні 1 ssh з'єднання там активне) Це, здається, реєстрації син пакет інформації просто відмінно, однак не існує способу для мене, щоб знати, яка робоча станція в локальній мережі ініціював з'єднання ...
інші підказки / ідеї?